Novo RAT explora bloco de notas online para armazenar malware

Da Redação
06/03/2024

Um novo malware denominado WogRAT, que tem como alvo sistemas Windows e Linux, foi descoberto por pesquisadores do AhnLab Security Intelligence Center (ASEC). O trojan de acesso remoto (RAT) é usado em ataques que exploram uma plataforma de bloco de notas online chamada aNotepad como um canal secreto para armazenar e recuperar código malicioso.

De acordo com pesquisadores, que nomearam o malware a partir de uma string que dizia “WingOfGod”, ele está ativo pelo menos desde o final de 2022, visando Japão, Cingapura, China, Hong Kong e outros países asiáticos.

Os métodos de distribuição são desconhecidos, mas os nomes dos executáveis ​​de amostra se assemelham a softwares populares (WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), então é provável que seja distribuído através de malvertizing ou esquemas semelhantes.

Digno de nota é o uso do aNotepad, uma plataforma de bloco de notas online gratuita, para hospedar um binário .NET codificado em base64 da versão Windows do malware, disfarçado como uma ferramenta da Adobe. Por ser um serviço online legítimo, o aNotepad não está na lista de bloqueio nem é tratado de forma suspeita por ferramentas de segurança, o que ajuda a tornar a cadeia de infecção mais furtiva.

Quando o malware é executado pela primeira vez na máquina da vítima, é improvável que seja sinalizado por ferramentas antivírus, pois não apresenta nenhuma funcionalidade maliciosa. No entanto, ele contém código-fonte criptografado para um downloader de malware que é compilado e executado instantaneamente. Esse downloader recupera outro binário .NET malicioso armazenado em formato codificado em base64 em um bloco de notas, resultando no carregamento de uma DLL, que é a backdoor do WogRAT. Ele envia um perfil básico do sistema infectado para o servidor de comando e controle (C&C) e recebe comandos para execução.

Veja isso
EUA desmontam operação de RAT Warzone e prendem dois hackers
RAT mira bancos e corretoras de criptomoedas mexicanos

A versão Linux do WogRAT, que vem no formato ELF, compartilha muitas semelhanças com a variante Windows. Porém, ele se diferencia por utilizar o TinyShell para operações de roteamento e criptografia adicional em sua comunicação com o C&C. TinySHell é uma backdoor de código aberto que facilita a troca de dados e a execução de comandos em sistemas Linux para vários operadores de ameaças, incluindo LightBasin, OldGremlin, UNC4540 e os operadores não identificados do rootkit Linux ‘Syslogk’

Os analistas do ASEC não conseguiram determinar como esses binários ELF são distribuídos às vítimas, enquanto a variante Linux não abusa do bloco de notas para hospedar e recuperar código malicioso. A lista completa dos indicadores de comprometimento (IoCs) relativos ao WogRAT pode ser encontrada na parte inferior do relatório da ASEC.

Compartilhar: